Dataskyddsförordningens införande

Uppsala universitet

Institutionen för informatik och media

Kurs: Examensarbete Nivå: C Termin: VT -18 Datum: 180530

Dataskyddsförordningens införande

Hur organisationer förhåller sig till dataskyddsförordningen, riskbedömning och efterlevnad

Anna Dyrhage & Astrid Billman

Handledare:

Fredrik Bengtsson

Abstract

On May 25 2018, the General Data Protection Regulation from EU was introduced, which aims to protect individual fundamental rights and freedoms, in particular their right to protection of personal data. The data protection regulation replaces the EU's previous data protection directive and will help prevent the flow of data within the Union being hindered, as the data protection ordinance will apply to all members of EU.

This case study aims to gaining an understanding of how different organisations’ risk management against the data protection regulation looks, and whether it will lead to compliance or not. Four Swedish organisations have been studied, presented, and then analysed based on a theoretical framework, designed after the different parts of a general risk management process. The study is of qualitative form and data have been collected through both semi structured and structured interviews. The data protection regulation was not yet implemented during the course of this study, and it was during this time that all parts were designed and the information was collected.

The study concludes that the organizations will not be completely compliant against the data protection regulation, which has a number of reasons: They do not take the regulation seriously, they are wrongly doing the change which lengthens the processes, and they delay their compliance due to greater economic profit.

Nyckelord

GDPR, General Data Protection Regulation, the data protection regulation, risk assesment, risk management.

Sammanfattning

Den 25 maj 2018 infördes EU:s dataskyddsförordning General Data Protection Regulation, som syftar till att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen ersatte EU:s tidigare dataskyddsdirektiv, och kommer bidra till att flödet av uppgifter inom unionen inte hindras på grund av att olika länder har olika lagar gällande dataskydd och personuppgifter, då dataskyddsförordningen kommer tillämpas alla medlemsstater inom EU.

Syftet med denna studie är att ge en ökad förståelse kring hur olika organisationers riskbedömning gentemot dataskyddsförordningen ser ut, och om den kommer leda till att dataskyddsförordningen efterföljs eller ej. Fyra svenska organisationer har studerats, redovisats och sedan analyserats utifrån ett teoretiskt ramverk utformat efter en generell riskbedömnings olika delar. Studien är av kvalitativ form och data har samlats in genom både semistrukturerade och strukturerade intervjuer. Dataskyddsförordningen var inte implementerad under studiens gång, och det var under denna tid som samtliga delar utformades och informationen samlades in.

Studien kommer fram till att organisationerna inte kommer vara helt lagenliga gentemot dataskyddsförordningens införande, vilket beror på flera olika anledningar: Förordningen tas inte på fullt allvar, förändringsarbetet görs på fel sätt vilket förlänger processen och efterlevnaden skjuts upp på grund av ekonomiska skäl.

Nyckelord

GDPR, General Data Protection Regulation, dataskyddsförordningen, riskbedömning, riskhantering.

1. Inledning 6

1.1 Bakgrund 6

1.1.1 Skillnader mellan PuL och dataskyddsförordningen 6

1.1.2 Riskhantering 7

1.2 Problembeskrivning 8

1.3 Syfte och forskningsfrågor 8

1.4 Avgränsning 9

1.5 Kunskapsintressenter 9

1.6 Disposition 10

2. Forskningsansats och metod 11

2.1 Forskningsstrategi 11

2.2 Datainsamlingsmetodik 11

2.2.1 Presentation av källa 12

2.2.2 Intervjuernas utformning 12

2.2.3 Dataanalys 13

3. Teori och ramverk 15

3.1 Riskhantering 15

3.2 Teoretiskt ramverk 15

3.2.1 Context establishment 16

3.2.2 Risk identification 16

3.2.3 Risk analysis 17

3.2.4 Risk evaluation 18

3.2.5 Risk treatment 18

4. Empiri 19

4.1 Fallspecifika metoder 19

4.1.1 Kartläggning 19

4.1.2 GAP-analys 19

4.1.3 Workshop & session 20

4.2 Fall 1 20

4.2.1 Riskbedömning 20

4.3 Fall 2 21

4.3.1 Riskbedömning 21

4.4 Fall 3 22

4.4.1 Riskbedömning 22

4.5 Fall 4 23

4.5.1 Riskbedömning 23

4.6 Information utöver fallen 24

5. Analys 26

5.1 Context establishment 26

5.2 Risk identification och risk analysis 26

5.3 Risk evaluation 27

5.4 Risk treatment 28

6. Avslutande del 29

6.1 Slutsats och resultat 29

6.2 Diskussion 30

6.2.1 Risker kopplade till kärnverksamhet 30

6.2.2 Koppling mellan POC och risker 30

6.2.3 Var finns diskussionen om moralen? 31

6.3 Avslutande tankar 31

6.3.1 Begränsningar 31

6.3.2 Vidare forskning 32

Källförteckning 33

Intervjuer 33

Källor 33

Bilagor 36

Bilaga 1 - Frågor inför intervju nr 1 37

Bilaga 2 - Frågor inför intervju nr 2 38

Bilaga 3 - Frågor inför intervju om fallen 39

1. Inledning

Detta kapitel innehåller en bakgrundsbeskrivning om dataskyddsförordningen och dess olika beståndsdelar. Vidare följer problemformuleringen, studiens syfte och forskningsfrågor, studiens avgränsning samt kunskapsintressenter. Slutligen presenteras dispositionen av studiens resterande del.

1.1 Bakgrund

Den 25 maj 2018 infördes dataskyddsförordningen General Data Protection Regulation (GDPR) vilket ersatte Europeiska Unionens (EU) tidigare dataskyddsdirektiv från år 1995 (Tankard 2016). Dataskyddsförordningen har till syfte att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Med personuppgifter menas all information som direkt eller indirekt kan kopplas till en levande person (Datainspektionen 2011, s 8). Förordningen kommer bidra till en homogen och likvärdig nivå för skyddet av personuppgifter så att flödet av uppgifter inom unionen inte hindras. Detta uppnås då förordningen tillämpas alla länder inom EU vilket leder till att likvärdiga krav ställs (Datainspektionen 2016).

En ytterligare anledning till behovet av dataskyddsförordningen är teknologins utveckling.

EU:s tidigare dataskyddsdirektiv bildades i en annan teknologisk epok, när endast 1 % av världens befolkning använde internet. Idag produceras och konsumeras majoriteten av all information elektroniskt, vilket har gjort den svårare att skydda (Tankard 2016).

I Sverige ersatte dataskyddsförordningen personuppgiftslagen (PuL) som var Sveriges motsvarighet till EU:s dataskyddsdirektiv. Syftet med PuL var att skydda människor mot att deras personliga integritet kränks vid behandling av personuppgifter (Datainspektionen 2011, s 6).

1.1.1 Skillnader mellan PuL och dataskyddsförordningen

En av skillnaderna i dataskyddsförordningen gentemot PuL är rätten att bli bortglömd. Varje individ har rätt att vända sig till aktuell myndighet eller företag för att be om att få sina personuppgifter raderade. Precis som med PuL måste individen ge samtycke till att uppgifterna lagras, och med dataskyddsförordningen kan individen ta tillbaka detta samtycke.

Uppgifterna ska även raderas om de uppfyllt sitt ändamål och inte längre används till det syfte de samlades in för (Datainspektionen 2017 b).

Individer har även rätt till dataportabilitet, vilket innebär att när uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska personen i fråga kunna begära ut och föra över uppgifterna till en annan tjänst (Datainspektionen 2017 a). Rätten till dataportabilitet syftar till att ge de registrerade personerna mer inflytande över sina personuppgifter. Det ska även

7

främja innovationsmöjligheter och delning av personuppgifter på ett tryggt och säkert sätt, och under den registrerades kontroll (Datainspektionen 2017 c).

Om det sker en så kallad personuppgiftsincident måste detta rapporteras till Datainspektionen inom 72 timmar, och i vissa fall även till den som uppgifterna refererar till. Med personuppgiftsincident menas “en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks” (Datainspektionen 2018). Kravet på rapportering vid personuppgiftsincidenter ställer även högre krav på att organisationerna har rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter (ibid.).

En annan skillnad är att missbruksregeln togs bort i samband med införandet av dataskyddsförordningen. Denna gav tillåtelse att använda personuppgifter i ostrukturerat innehåll, till exempel i löpande text eller mail, så länge det inte ansågs kränkande (Datainspektionen 2017 a). Missbruksregeln infördes 2007 i syfte att underlätta vardaglig hantering av personuppgifter (Datainspektionen 2011, s 6).

En ytterligare skillnad mellan PuL och dataskyddsförordningen är straffskalan. Vid brott mot PuL var straffet böter upp till 150 000 SEK (SFS 1962:700) eller fängelse i upp till två år.

Straffet ålades den individ som utförde den brottsliga handlingen, och inte den personuppgiftsansvarige på organisationen, uteslutet att dessa inte var samma person (SFS 1998:204). Vid brott mot dataskyddsförordningen kan administrativa sanktionsavgifter på upp till 20 000 000 EUR påföras, eller på upp till 4 % av företagets årsomsättning, beroende på vilket värde som är högst (Datainspektionen 2016).

1.1.2 Riskhantering

Alla organisationer utsätts för olika risker och de flesta organisationer har därför någon typ av process där riskerna utvärderas, så kallad riskhantering. Riskhantering utförs för att styra och kontrollera en organisation med avseende på risk (Refsdal, Solhaug & Stølen 2015, s 12).

Riskhantering har länge setts som ett viktigt verktyg för att försäkra om att uppgifter behandlas på rätt sätt och att de grundläggande rättigheterna för enskilda personer skyddas (Kuner, Cate, Millard, Svantesson & Lynskey 2015).

Organisation måste vidta åtgärder vid varje risk. En del risker kan organisationen hantera själv med hjälp av sin kompetens och expertis, och med andra måste de använda sig utav outsourcing (Olson & Dash Wu 2017, s 4). Det händer också att organisationer väljer att inte hantera risken alls, utan beslutar att acceptera konsekvenserna, även kallat riskacceptans. Om riskacceptansen görs medvetet beror det på att kostnaden för att skydda sig helt enkelt är dyrare än vad konsekvenserna av en risk är (Whitman & Mattord 2016, s 149). Riskacceptans används på samma sätt i förhållande till lagar, där organisationen då ser till det straff eller den bötessumma det skulle kosta för dem att bryta mot lagen, kontra vad det skulle kosta att efterfölja lagen. Detta redovisas under rubrik 1.2.

1.2 Problembeskrivning

Under 2004 inkom en motion till Landsorganisationen i Sverige (LO) som föreslog en höjning av avgiften för brott mot främjandelagen (1974:13). Detta för att arbetsgivare inte skulle kunna tjäna ekonomiskt på att bryta mot lagen. Som det såg ut då tjänade arbetsgivaren på att säga upp en arbetstagare innan den lagliga uppsägningstiden gått ut. Avgiften i motionens exempel, som även var maxavgiften för straffet, gick inte ens upp till 15 % av vad det hade kostat att faktiskt följa lagen (LO 2005).

Under samma år rapporterade både Svenska Dagbladet och Dagens Nyheter (TT 2004;

Lorentzon 2004) om hur flera svenska elbolag valt att bryta mot lagen om elcertifikat på grund av affärsmässiga skäl. Inköp av certifikat var dyrare än straffavgiften. Vid tillfället uppmärksammade även Energimyndigheten felet, men ansåg att några vidare åtgärder inte behövde tas: “... de har gjort affärsmässiga bedömningar, och systemet tillåter den här möjligheten. Det finns ingen anledning för oss som myndighet att reagera” (Lorentzon 2004).

Vi kan även se till de pengatvätt-skandaler som inträffat inom bankvärlden, med mest fokus på Nordea som fick en varning förenat med en straffavgift på 50 miljoner kronor under 2015.

Detta med anledning av de stora brister som funnits i arbetet med att motverka penningtvätt.

Bristerna fanns i samtliga av Finansinspektionens granskade områden hos Nordea. Även två år tidigare fick Nordea en straffavgift på 30 miljoner kronor på grund av deras bristande arbete med att motverka penningtvätt. Det konstaterades att överträdelserna var av allvarlig karaktär, trots att Nordea vetat sedan lång tid tillbaka om att bristerna funnits (Finansinspektionen 2015). Om det här handlar om riskacceptans eller ej framgår inte, men det redogör för hur Nordea trots upprepade varningar från Finansinspektionen inte åtgärdat sina brister gällande lagenlighet.

Ovanstående exempel visar på att organisationer bryter mot diverse lagar eftersom de förlorar mindre pengar på att betala en straffavgift än att efterleva lagen. Självklart är detta inte önskvärt, och med de höga straffavgifter som nu riskeras i och med dataskyddsförordningen är det sannolikt att graden av efterlevnad kommer öka. Den är även utformad att straffa medvetenhet hårdare: Sanktionsavgiften kommer bestämmas i förhållande till ett antal kriterier, där några av kriterierna innefattar strängare straff om ett företag gjort en ekonomisk vinst eller undvikit en förlust genom att bryta mot förordningen, samt om det gjorts med avsikt eller ej (Datainspektionen 2016).

1.3 Syfte och forskningsfrågor

Ett av syftena med studien är att få en förståelse i hur riskhanteringen gentemot dataskyddsförordningen ser ut hos organisationer. Ett annat syfte är att undersöka om riskhanteringen leder fram till att lagen efterföljs eller inte och varför det ser ut så. Det finns även ett personligt syfte hos författarna, i och med att fenomenet var okänt innan studiens påbörjande. Det har varit intresseväckande att organisationer av olika skäl väljer att inte efterleva en lag, vilket har ökat viljan att införskaffa mer kunskap.

9

Vidare kommer studien besvara följande forskningsfrågor:

1. Hur ser riskbedömningen ut inför dataskyddsförordningen hos organisationer?

2. Kommer organisationerna vara redo inför dataskyddsförordningens införande?

En viktig aspekt är att dataskyddsförordningen inte ännu var implementerad under studiens gång, och att det var under denna tid som samtliga delar utformades och informationen samlades in. Detta kan innebära att synen på dataskyddsförordningen är annorlunda idag eller att flera åtgärder tagits än de som studien innehåller.

1.4 Avgränsning

Författarna har studerat hur riskhanteringen sett ut vid införandet av dataskyddsförordningen, och om det funnits anledning för organisationer att bryta mot lagen. Författarna har inte riktat in sig på några andra aspekter av implementeringen, som till exempel allmänna riktlinjer eller andra svårigheter, utan snarare fokuserat på vad organisationen valt att införa (eller inte), och varför.

Författarna har även valt att endast studera svenska organisationer, eftersom olika länder har behövt förbereda sig på olika sätt med tanke på deras tidigare motsvarighet till EU-direktivet från 1995. Valet grundar sig även i kulturella skillnader, då det kan finnas divergens i viljan att efterfölja lagar mellan olika länder.

Eftersom studiens data kan anses känslig för organisationer, med tanke på att det handlar om lagenlighet, har det funnits begränsningar i vad som varit möjligt att samla in. Det mest önskvärda hade varit att kunna jämföra olika branscher och sektorer mot varandra, vilket dock har varit problematisk med tanke på att mycket information om organisationerna hållits hemlig.

1.5 Kunskapsintressenter

Studien ska förmedla en ökad insikt om hur efterföljandet av dataskyddsförordningen ser ut hos olika organisationer. Vidare ska studien öka förståelsen för att andra intressen, till exempel ekonomisk vinst, ibland kan prioriteras före lagenlighet. Den kommer även bidra till information om hur riskhantering ser ut och går till. Slutligen ska studien även ge en översiktlig bild över förordningen och vad som behöver förändras inför dess införande.

Studien kan komma att intressera andra individer som inte känner till att efterlevnad inte alltid prioriteras, eller som studerar samma sak. Det kan även vara intressant för kontrollerande myndigheter, då detta kan ses som en uppmaning till att förändring behövs. Det vi vill göra är att spräcka en bubbla och sprida kunskapen vidare.

1.6 Disposition

Återstående del av studien är disponerad med ett påföljande kapitel 2 som redogör för studiens forskningsansats samt den valda metoden. Detta följs sedan av teori- och ramverkskapitlet, kapitel 3, som tar upp förklarande teori kring riskhantering som begrepp samt det teoretiska ramverket. I kapitel 4 redovisas empirin som följs av kapitel 5 där analysen av det empiriska kapitlet utifrån det teoretiska ramverket redogörs. Studien avslutas med kapitel 6 bestående av slutsats, diskussion och avslutande tankar.

11

2. Forskningsansats och metod

I detta kapitel beskrivs valet av forskningsstrategi och vad strategin innebär. Vidare redovisas datainsamlingsmetodiken, en presentation av vår källa samt hur datainsamlingen gått till.

2.1 Forskningsstrategi

Studien fokuserar på organisationers riskhantering i samband med införandet av dataskyddsförordningen, och i vilken utsträckning förordningen kommer efterföljas. Studien är en fallstudie med avseende på utförandet, som har bestått i att studera olika fall när riskhantering gjorts för att sedan se om det finns en generell norm. Studien är av kvalitativ form med djupgående fokus på dessa fall (Denscombe 2016, s 91; Oates 2006, s 142).

Det finns enligt Oates (2006, s 143) tre grundläggande typer av fallstudier: Explorativ, deskriptiv och förklarande. Denna studie är en deskriptiv fallstudie som leder till en detaljerad analys av ett specifikt fenomen och dess sammanhang. Vi berättar det förflutna och vad som har skett. Samtidigt utfördes en explorativ studie, då vi samlade in mycket information om ett relativt okänt fenomen, i avsikt att formulera en teori om vilken norm som finns (Merriam 1994, s 41). Det finns ett flertal som skrivit om dataskyddsförordningen generellt och vad man bör tänka på (Tankard 2016; Calder 2016; von dem Bussche & Voigt 2017), men ingen som har belyst studiens perspektiv.

2.2 Datainsamlingsmetodik

Den kvalitativa data som ligger till grund för studien har samlats in via expertintervjuer.

Intervjuer som insamlingsmetod är lämpligt när en forskare vill ha detaljerad information, ställa komplexa frågor, utforska känslor eller ta reda på information som respondenter med stor sannolikhet inte svarar på i skrift (Oates 2006, s 186). Data i intervjuer kommer från självrapportering – vad människor säger att de gör, säger att de tror samt åsikter de säger att de har (Denscombe 2016, s 263). Expertintervjuer kan användas i situationer där det är svårt eller omöjligt att få tillgång till ett särskilt socialt fält, till exempel kring tabuämnen (Bogner, Littig & Menz 2009, s 2). I vilken utsträckning en organisation kommer efterleva en lag eller inte är ingenting som enkelt hittas på internet. Det är med stor sannolikhet någonting som folk inte delar med sig fritt av, eller kanske ens nämner utanför en sluten cirkel. Med tanke på detta krävdes det att vi kunde träffa och prata med människor ansikte mot ansikte, alternativt ha en direkt konversation med, till exempel över videosamtal eller dylikt. En väsentlig del för oss var även den kunskap som respondenten satt på, vilket enligt Merriam (1994, s 86) är ett av de huvudsakliga syftena med intervjuer. För att få tillgång till den känsliga information vi behövde, krävdes det att vi hade en förstahandskälla med rätt arbetsroll och som satt på rätt information.

En annan viktig aspekt gällande intervjuer som insamlingsmetod är möjligheten att få kontakt med de eventuella intervjuobjekten. Personen kan till exempel vara väldigt upptagen eller inneha information som inte får delas vidare på grund av intern instans, myndighet, formell

organisation etcetera (Denscombe 2016, s 264). För studiens del handlade det inte bara om att få kontakt med personer, utan även lyckas hitta de som både hade möjlighet och viljan att svara på våra frågor. Detta eftersom studiens ämne kan kategoriseras som känsligt.

2.2.1 Presentation av källa

Vår huvudsakliga källa har varit Robert Willborg på Sogeti som har rollen Cyber Security Specialist. Han är även GDPR-expert och har arbetat som konsult hos flera organisationer med deras riskbedömning och riskhanteringsprocess inför dataskyddsförordningen. Sogeti är ett dotterbolag som tillhör Capgemini-koncernen, och ägnar sig åt konsulttjänster inom IT och Engineering. De har drygt 1000 anställda i Sverige utspridda på 21 kontor.

Information Intervju 1 Intervju 2 Intervju 3 Intervju 4 Datum &

plats 11/4 -18 Uppsala 26/4 -18 Sthlm 4/5 -18 Uppsala 11/5 Uppsala Typ av

intervju Skype Möte Skype Skype

Redovisat

material Word dokument (1 sida),

PowerPoint (4 sidor) - PowerPoint

(4 sidor) -

Tabell 1: Sammanställning av intervjuer

Vi utförde fyra intervjuer med Robert vilka är sammanfattade i tabell 1. Han använde sin expertis för att förmedla fyra fall innehållande riskhanteringsprocessen hos några av sina kunder, inklusive deras identifierade primära risk (PR) och sekundära risk (SR) i samband med dataskyddsförordningen. Det är även presenterat vem som har varit Point of Contact (POC), det vill säga den person eller den grupp som lett arbetet på respektive verksamhet, och som Robert främst haft kontakt med. Utöver fallen har Robert även berättat om olika erfarenheter han upplevt under dataskyddsförordningens process.

Vi är medvetna om att det finns vissa svårigheter och hinder med att endast ha en respondent.

Dessa redovisas och diskuteras kring under kapitel 6.3.1 Begränsningar.

2.2.2 Intervjuernas utformning

Samtycket till att vår respondents information skulle användas i forskningssyfte framgår i både mail-konversationer och inspelade möten. Innan varje påbörjat möte bekräftade vi även att ljud- och/eller bildinspelning godkändes. Enligt Denscombe (2016, s 263–264) ingår det i intervjuer ett antal underförstådda antaganden, som vanligtvis inte associeras med en vanlig konversation. När människor går med på att delta i en intervju sker samtidigt ett underförstått samtycke till att delta i forskningen, samt att deras ord kan användas som forskningsdata.

Intervjun är uttryckligen ett möte i avsikt att producera material som kommer användas i

13

forskningssyfte, där den intervjuade är medveten om detta och samtycker till det. Vidare beskriver Denscombe att forskningsetik är ett grundläggande inslag i all god forskning (ibid., s 423), och att det i allmänhet är god praxis att få detta samtycke nedtecknat.

Inledningsvis användes en semi-strukturerad utformning av intervjuerna. Valet grundade sig i att vi inte ville ha en helt förutbestämd ordningsföljd på frågorna, utan se till utvecklingen av samtalet (Merriam 1944, s 88). Detta eftersom vi ville tillåta respondenten att gå in på nya spår, och på så sätt kunna ge oss information vi själva inte tänkt på att fråga. Fokus låg även på öppna frågor för att uppmuntra respondenten att svara med egna ord snarare än att bli ledd till ett svar (Oates 2006, s 223).

Efter de två första intervjuerna insåg vi att samtalet hade en tendens att sväva iväg för mycket.

Vi hade samlat in generell och översiktlig information kring dataskyddsförordningen och dess efterlevnad, men för att kunna utforma empirin så krävdes det tillgång till mer detaljer. Detta ledde till att vi under följande möte utförde en strukturerad intervju. En risk med strukturerade intervjuer är att respondenten påverkas av hur intervjuarna ställer sina frågor, och det är viktigt att anteckna svaren utan personliga kommentarer (Oates 2006, s 188). Denna risk reducerades förhoppningsvis med tanke på att vi inför mötet skickade ett frågeformulär med de frågor vi ville ha svar på, så att Robert skulle vara väl förberedd med sina egna formuleringar.

Den fjärde intervjun fungerade som ett kompletteringsmöte, då vi ställde frågor som uppstått gällande den information vi redan samlat in. Vi skickade inte något till Robert i förväg, men vi bestämde innan vilka frågor som skulle besvaras och i vilken ordningsföljd de skulle komma, vilket enligt Merriam (1994, s 87) faller under strukturerade intervjuer.

Intervjuerna har gjorts ansikte mot ansikte, över telefon och med videosamtal i form av Skype. Under Skype-mötena användes ingen kamera, men skärminspelning nyttjades då PowerPoints och bilder visades upp under mötet. Tanken kring miljön som intervjuerna genomfördes i var även i fokus. Eftersom inspelning av ljud skulle vara möjlig var vi tvungna att träffas på inte alltför högljudda ställen, och uteslöt därför livliga cafeér och liknande mötesplatser. Det valet kunde även motiveras av den eventuellt känsliga information vi tog del av.

2.2.3 Dataanalys

Som tidigare nämnt spelades varje intervju in för att sedan transkriberas. Detta för att göra det som sagts mer tillgängligt för oss och således göra det lättare att analysera. Det finns forskare som väljer att analysera direkt från inspelningen, men detta rekommenderas inte med tanke på svårigheterna att kontrollera det som sagts (Williamson 2015, s 294). Efter transkribering lästes materialet igenom igen, där irrelevant information sorterades bort för att lättare kunna se vad som i slutändan kunde användas. Informationen som var kvar sorterades in i två grupper: Den ena innehöll generell, beskrivande information för att förklara kontexten, och den andra innehöll nödvändig information till vår forskningsfråga. Uppdelningarna är i enlighet med hur Oates (2006, s 268) anser att man initialt ska dela upp sin data.

Eftersom vi utförde både strukturerade och semistrukturerade intervjuer hanterade vi den transkriberade datan annorlunda däremellan. Efter vår strukturerade intervju tog vi informationen i den andra gruppen, det vill säga information relevant för forskningsfrågan, och sorterade upp den efter studiens nyckelord. Detta för att lättare kunna använda det i studien för vidare analys (Blandford, Furniss & Makri 2016, s 57). Utförandet visar på ett deduktivt tillvägagångssätt, vilket enligt Oates (2016, s 269) innebär att vi analyserat datan utifrån tidigare teorier, i detta fall det teoretiska ramverk som presenteras under rubrik 3.2.

Efter våra semistrukturerade intervjuer använde vi istället ett induktivt tillvägagångssätt. Vi sorterade upp informationen efter kategorier vi ansåg var intressanta under läsningens gång, och analyserade därför texten utifrån ett mer öppet sinne (ibid.).

15

3. Teori och ramverk

I detta kapitel beskrivs inledningsvis vad riskhantering innebär, och sedan förklaras det teoretiska ramverk som har använts för att analysera datainsamlingen. Ramverket grundar sig i en generell riskbedömningsprocess.

3.1 Riskhantering

Enligt Finansinspektionen ställs följande krav på en riskhantering:

1 § Ett företag ska ha ett ramverk för riskhantering som innehåller de strategier, processer, rutiner, interna regler, limiter, kontroller och rapporteringsrutiner som behövs för att säkerställa att företaget löpande kan identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som det är eller kan förväntas komma att bli exponerat för. (FFFS 2014:1)

Detta följs av 2 § där det står att ramverket för riskhantering ska vara väl integrerat i företagets organisations- och beslutsstruktur samt avse samtliga väsentliga risker i företaget.

En risk definieras som sannolikheten för att en incident ska inträffa och vad konsekvensen sedan blir för en viss tillgång (Refsdal, Solhaug & Stølen 2015, s 9). Alla organisationer är på något sätt exponerade för risker och bör därför ha någon form av riskhantering. Riskhantering definieras enligt Refsdal, Solhaug och Stølen (ibid., s 12) som “... samordnade aktiviteter för att styra och kontrollera en organisation med avseende på risker”. Riskbedömningen är den process som ligger till grund för riskhanteringen och består av fem steg: Context establishment, risk identification, risk analysis, risk evaluation och risk treatment (ibid., s 15).

De fem stegen utgör även det teoretiska ramverket, vilket beskrivs genomgående under rubrik 3.2. Vidare ska en riskbedömning även uppfylla följande krav: “När ett företag identifierar, bedömer och mäter risker ska det utföra framåt och bakåtblickande analyser“ (FFFS 2014:1).

3.2 Teoretiskt ramverk

Figur 1 redovisar studiens teoretiska ramverk. Mer ingående förklaring följer i styckena 3.2.1 - 3.2.5.

Figur 1: Teoretisk ramverk – Risk management

3.2.1 Context establishment

Fokusen för detta steg är att försörja processen med all den input som behövs för att kunna utföra de följande stegen i riskbedömningsprocessen. Målet är att få fram vad som vill uppnås med riskbedömningen, och ska inkludera relevanta sociala, juridiska, lagstiftande och finansiella aspekter. En viktig del är att förstå målets omfattning, dess syfte och inriktning (Refsdal, Solhaug & Stølen 2015, s 16). Under detta steg sätts även riskbedömningens kriterier, som sedan blir referensvärdet med vilken betydelsen av risken bedöms (ibid., s 18).

3.2.2 Risk identification

Med riskidentifikation menas de aktiviteter som syftar till att identifiera, beskriva och dokumentera risker samt möjliga risker (Refsdal, Solhaug & Stølen 2015, s 18). Detta steg bör resultera i en förklaring av relevanta risker såväl som beskrivning av redan befintliga hot. För att utföra denna identifikation kan en organisation använda sig av ett flertal olika metoder som kan kategoriseras in som antingen insamlingsmetoder, kreativitetsmetoder eller analytiska sökmetoder (Ackermann 2013, s 16). Insamlingsmetoderna kan vara i form av checklistor eller expertintervjuer, där man vill se vad den riskspecifika datainsamlingen har gemensamt, vilket gör att insamlingsmetoderna främst är lämpade för identifiering av redan kända risker.

Kreativitetsmetoder kan vara till exempel brainstorming, som baseras på en kreativ process och karaktäriseras av divergent tänkande. Således kan kreativitetsmetoder användas för att identifiera okända risker. Analytiska sökmetoder använder sig av den existerande IT- infrastrukturen och dess egenskaper som utgångspunkt för att söka fram sårbarheter och hot (ibid., s 16). En sårbarhet är en svaghet eller brist som kan exploateras av ett hot för att skada en tillgång (Refsdal, Solhaug & Stølen 2015, s 18). Exempel på analytiska sökmetoder är

17

händelseträd, attackträd och hotmodellering, som används för att stödja beskrivningen av risker och hur de är relaterade till sårbarheter och hot (Refsdal, Solhaug & Stølen 2015, s 19).

Händelseträd är en modell för att systematiskt presentera konsekvenserna av en viss händelse genom en rad möjliga vägar. Varje väg tilldelas en sannolikhet för förekomst, och sannolikheten för de olika möjliga resultaten kan således beräknas (Rubin & Dahlberg 2017).

Attackträd ger ett formellt, metodiskt sätt att beskriva systemets säkerhet, baserat på olika attacker. Med andra ord representeras attacker mot ett system i en trädstruktur, med målet som rotnod och olika sätt att uppnå det målet som lövnoder (Schneier, 1999). Hotmodellering handlar om att använda olika modeller för att hitta säkerhetsproblem, där man försöker se den stora bilden snarare än detaljer. Man modellerar för att hitta problem i saker som ännu inte byggts, och för att fånga ett problem innan det startar. Hotmodellering fungerar som ett sätt att förutse de hot som skulle kunna påverka organisationen (Shostack 2014, s 3).

Oavsett vilken metod som väljs för att utföra riskidentifikationen och dess dokumentation är det vitalt att beskriva alla delar av riskbilden som existerar, för att visa syftet med riskbedömningen. Dokumentationen för riskidentifikation bör i samtliga fall innehålla hotkällor, sårbarheter, risker och tillgångar (Refsdal, Solhaug & Stølen 2015, s 20). Kvaliteten av resultaten från detta steg har ett väsentligt inflytande på de kommande stegen i riskbedömningen. I och med att riskidentifikationen är en ex-ante fas finns det alltid en risk att inte alla risker identifieras. Detta kan leda till en bristfällig och ofullständig riskidentifikation vilket i sin tur kan orsaka ytterligare oförutsedda förluster för företaget (Ackermann 2013, s 17).

3.2.3 Risk analysis

Riskidentifikationen följs av riskanalysen som har till syfte att uppskatta risknivån, det vill säga sannolikheterna och konsekvenserna för de identifierade riskerna (Refsdal, Solhaug &

Stølen 2015, s 20). För att utföra uppskattningen behövs empirisk data samlas in. Ett krav inför dataskyddsförordningen är att göra en konsekvensbedömning, om en typ av behandling

“sannolikt leder till en hög risk för fysiska personers rättigheter och friheter” (Artikel 29- arbetsgruppen 2017). Med konsekvensbedömning menas den process som är avsedd för att beskriva behandlingen, bedöma huruvida den är nödvändig samt hjälpa till att hantera risker för fysiska personers rättigheter och friheter. Kort sagt en process för att skapa och påvisa efterlevnad (ibid.).

Det är viktigt att vara medveten om att de metoder som valts under riskidentifikationen och hur riskerna dokumenterats kan få konsekvenser. Detta eftersom det påverkar vilka tekniker som finns tillgängliga för uppskattning av risknivån (ibid., s 20). Det finns olika metoder för att utföra en uppskattning av risknivå. Bland annat kan man se till avkastningen på Return on Security Investment (ROSI) som uppkommit ifrån Return on Investment (ROI) vilket i sig representerar projektets ekonomiska vinst i förhållande till dess totala kostnad. ROSI mäter effekten av riskreducering i förhållande till en säkerhetsåtgärds kostnad (Ackermann 2013, s 18). En annan metod för att analysera identifierade risker är ALE-algoritmen, annualized loss expectancy, som redovisar den förutspådda ekonomiska förlusten av en specifik risk.

Uträkningen blir produkten av den årliga förekomsten av risken i procentform (ARO), multiplicerat med den genomsnittliga kostnaden för förlusten om risken skulle inträffa (SLE)

(Pompon 2016, s 36). Med andra ord, ju högre ALE i förhållande till företagets omsättning, desto större ekonomisk risk tar företaget. Uttrycks på följande sätt: ALE = ARO * SLE.

3.2.4 Risk evaluation

Med riskutvärdering menas de aktiviteter som innefattar en jämförelse av resultaten från riskanalysen med riskbedömningskriterierna, som definierats under första steget, för att bestämma vilka risker som ska övervägas för vidare behandling. Detta steg är en beslutspunkt i vidare arbete med riskbedömningsprocessen, och därför bör tid läggas ner på att här bekräfta de kriterier som satts. Detta är även viktigt med tanke på att de beslutsfattande personerna får med tiden tillgång till ny information och en större insikt gällande riskerna och dess konsekvenser (Refsdal, Solhaug & Stølen 2015, s 21). En vanlig metod för detta är workshop.

Workshops går ut på att genom brainstorming identifiera, utvärdera och bestämma hur riskerna ska hanteras, och workshopens viktigaste intressenter är deltagarna. Det är vitalt att ha i åtanke den tid och pengar en workshop kräver (Tavakolan & Mohammadi 2017).

3.2.5 Risk treatment

Riskbehandling syftar till att identifiera och välja medel för hur riskerna ska åtgärdas. Att identifiera rätt riskbehandlingsmetod kan göras på samma sätt som i riskidentifiering, det vill säga via brainstorming eller med hjälp av tillgängliga listor. Urvalet av vilka riskbehandlingar som ska genomföras beror på en analys av dess kostnader och fördelar (Refsdal, Solhaug &

Stølen 2015, s 21-22). Det finns fyra stycken huvudsakliga alternativ för riskbehandling:

Riskminskning, kvarhållande av risk, undvikande av risk och riskdelning. Riskminskning handlar om att försöka eliminera hotkällor eller minska sannolikheten för hot på annat sätt.

Kvarhållande av risk är att acceptera risken genom ett informerat beslut, som tidigare nämnt även kallat riskacceptans. Undvikande av risk handlar om att undvika den aktivitet som ger upphov till den aktuella risken, vilket i vissa fall är det enda alternativet för oacceptabla risker. Med riskdelning innebär överföring risken, eller delar av den, till en annan part, till exempel genom försäkring. Detta kallas även outsourcing (ibid., s 22). Under riskbehandlingen är det även lämpligt att tillsätta en riskägare, som är ansvarig över och har auktoritet att hantera risken (ISO/IEC 27000:2018).

19

4. Empiri

Nedan presenteras inledningsvis vår huvudsakliga källa samt en sammanställning av de material vi tagit del av. Sedan beskrivs de metoder som har använts i organisationernas riskbedömningar, följt av en redogörelse för hur varje fall gått till inklusive beskrivning av organisationerna. Varje organisation har av sekretesskäl valts att anonymiseras.

4.1 Fallspecifika metoder

Följande rubriker beskriver de fallspecifika metoder som använts i de fyra olika riskbedömningarna.

4.1.1 Kartläggning

Riskidentifikations-metoden som organisationerna i studien har använt är kartläggning, vilket rentav går ut på att kartlägga alla möjliga risker. Det finns olika former av kartläggningar - de som är designade internt och anpassade till kärnverksamheten, och de som är mer generella som går att applicera på alla verksamheter. Nackdel med en mer nischad kartläggning är att den passar endast den organisationen där och då, i och med att organisationer alltid rör sig framåt och utvecklas. En nackdel med en generell kartläggning är att den riskerar att bli för generell, att den täcker mycket på bredden men går aldrig ner på djupet i någon del av verksamheten. Utifrån Ackermans (2013, s 16) definition faller kartläggning under kreativitetsmetod.

Den form av kartläggning som använts i följande fall är generell. Den utgår ifrån ett antal steg, och börjar med steget tänk om: Tänk om den här olyckan sker. Nästa steg är styr om, där organisationen identifierar de åtgärder som behövs och hur nödvändiga processer kan effektiviseras. Därefter hittar man de svagheter en organisation har, alltså det som gör att de inte kan åtgärda diverse risker. Detta leder fram till nästa steg bygg om, vilket efter behov leder till bygg nytt, alltså vad det är organisationen behöver göra och vad som är realistiskt.

Detta leder sedan till SMART-konceptet, som går ut på att lyckas förstå och lösa situationen utifrån organisationens erfarenhet. Kort formulerat måste varje risk vara mätbar och realistisk, samt accepterad av samtliga personer som arbetar med riskidentifieringen.

4.1.2 GAP-analys

Den typen av konsekvensbedömning som främst använts i denna studie är GAP-analys. GAP- analys är en jämförelse mellan organisationens nuvarande nivå av efterlevnad och den förväntade nivån av efterlevnad. Skillnaden där emellan blir sedan de åtgärder som måste genomföras inför dataskyddsförordningens införande.

4.1.3 Workshop & session

Som tidigare nämnt är workshop en metod som används inom riskutvärdering. I samtliga fall blir slutprodukten av varje workshop ett dokument som fungerar som en prioriteringslista inför valet av riskbehandling. I fall 3 kompletteras även workshopen med en session, vilket är ett möte med en specifik agenda - varje session tar upp och hanterar endast en risk.

4.2 Fall 1

I fall 1 redovisas en organisation i näringslivet som jobbar inom detaljhandeln, och som uteslutande håller på med kläder. Verksamheten är väldigt stor inom den svenska marknaden, samtidigt som de arbetar globalt. De har ungefär 1000 anställda, med oklart antal kontor på grund av att organisationen har stor försäljning genom e-handel. POC var organisationens ledningsgrupp.

4.2.1 Riskbedömning

För att identifiera riskerna på organisationen användes en kartläggning, och för riskanalysen utfördes en GAP-analys tillsammans med ALE-algoritmen. Detta resulterade i att CRM- systemet blev den primära risken och marknadsföringen blev den sekundära risken. Med marknadsföring menas processerna kopplade till varumärket och hur omgivningen skulle reagera om organisationen inte efterlever förordningen. Många av de andra risker som identifierades kunde organisationen hantera på egen hand utan större problem. Primär och sekundär risk utvärderades sedan med en workshop som i sin tur ledde till valet att göra en risköverföring. De valde att hyra in människor som fick hantera problemet istället. Detta gjordes för att åtgärderna blev för stora för organisationen att hantera. De insåg även att om innehållet i deras CRM-system skulle behöva minskas, skyddas eller dylikt, skulle inte verksamheten kunna fortgå som vanligt, och det var ett för stort steg att ta – att hantera risken hade varit för dyrt. Det är detta strutsbeteende, att använda sig av outsourcing som riskbehandling och inte ta sitt ansvar, som Robert ser som den största risken. De förstår inte hur mycket 4 % faktiskt är, och att den största risken gentemot lag är brist på efterlevnad och att det är det som kan leda till böterna. Sammanfattning av organisationens riskbedömning återfinns i tabell 2.

21

Titel Respons

Point of Contact Ledningsgruppen

Risker PR: CRM-system

SR: Marknadsföring Riskidentifikation Kartläggning

Riskanalys GAP-analys + ALE Riskutvärdering Workshop

Riskbehandling Risk transfer

Tabell 2: Sammanfattning av riskbedömning fall 1

Robert säger att organisationen, och de är inte ensamma om det, har en illusion av att dataskyddsförordningen är till för dem, och inte för subjektet, vilket är ett gravt missförstånd - de förstår inte att förordningen ska skydda subjektet mot dem som organisation.

Organisationen har startat ett nytt projekt med samma omfattning med tanke på tidigare brister.

4.3 Fall 2

I fall 2 beskrivs en organisation inom näringslivet som arbetar med industri och tillverkning av stål. De har cirka 15 000 anställda globalt, och finns på i princip alla kontinenter.

Organisationens POC var uteslutande IT-avdelningen, som hade fått hela projektet delegerat till sitt bord.

4.3.1 Riskbedömning

Precis som i fall 1 användes kartläggning för att identifiera riskerna, och sedan en GAP-analys tillsammans med ALE-algoritmen för riskanalysen. Detta ledde fram till medvetenhet som primär risk. Organisationen insåg att de kan bygga och leverera världens säkraste system, men om ingen förstår hur de ska användas kan bakdörren i systemet öppnas och leda till dataintrång. Vidare identifierades databaser som den sekundära risken, eftersom de insåg att om något skulle gå fel med databaserna skulle extremt många maskiner kunna haverera. De hade även stora utmaningar sett till brandväggar, switchar och motsvarande, vilket var raka vägen in i databaserna. Organisationen och Robert var dock överens om att medvetenheten kring att göra rätt översteg det fysiska skyddet av en databas, vilket gav resultatet av riskernas prioritering. Riskerna utvärderas med en workshop, vilket ledde till en risköverföring som riskbehandling. Dock var det endast den primära risken som överfördes, i och med att organisationen lyckades åtgärda sin sekundära risk på egen hand. I detta fall fördes den primära risken över till styrelsen i organisationen och stannade med andra ord internt. IT-

avdelningen lyckades skriva en rapport med alla analyser och resultat, där det tydliggjordes att ansvaret inte var deras. Det tillsattes sedan en projektledare för att leda projektet vidare och åtgärda riskerna. Sammanfattning av organisationens riskbedömning återfinns i tabell 3.

Titel Respons

Point of Contact IT-avdelningen

Risker PR: Medvetenhet

SR: Databaser Riskidentifikation Kartläggning Riskanalys GAP-analys + ALE Riskutvärdering Workshop

Riskbehandling Risk transfer

Tabell 3: Sammanfattning av riskbedömning fall 2

4.4 Fall 3

I fall 3 redovisas en organisation inom näringslivet som jobbar med säkerhet, och säljer allt från enklare till mer avancerade säkerhetsprodukter. På organisationen jobbar cirka 25 000 anställda, och POC var organisationens IT-avdelning.

4.4.1 Riskbedömning

Organisationen var väldigt tydlig med att de inte ville ha hjälp från Robert med att utföra en GAP-analys då de redan gjort en själva. De ville endast ha hjälp med att genomföra en workshop.

Riskidentifikationen utfördes genom en kartläggning och riskanalysen genom workshops.

Den primära risk som organisationen identifierade var ett ostrukturerat flöde av personlig identifierbar information via mail-servrar, och att det skickades runt lappar med känslig information. Skärmar på organisationen stod även öppna och obevakade, där bland annat styrning av oljeplattformars säkerhet och centralbankers datastyrda valvdörrar fanns. Brist på efterlevnad identifierades som organisationens sekundära risk. Riskutvärderingen utfördes dels genom workshops och dels genom sessions, vilket ledde till riskacceptans som riskbehandling. Sammanfattning av organisationens riskbedömning återfinns i tabell 4.

23

Titel Respons

Point of Contact IT-avdelningen

Risker PR: Ostrukturerat flöde SR: Brist på efterlevnad Riskidentifikation Kartläggning

Riskanalys Workshop Riskutvärdering Workshop Riskbehandling Risk acceptance

Tabell 4: Sammanfattning av riskbedömning fall 3

Det var inget snack eller vidare övervägning, utan acceptansen av att det fanns risker var självklar. Robert fick intrycket av att de bestämt sig redan innan att projektet skulle leda till en riskacceptans. Hans privata känsla var att den inställningen grundade sig i att en jurist på bolaget förklarade dataskyddsförordningen på det sättet. Han trodde även att deras riskkalkyl baserades på resonemanget att hellre lägga pengar på att förhala rättsprocessen, än att göra sig lagenlig.

Organisationen har idag startat ett nytt projekt med Sogeti. De insåg att ett dåligt rykte och därmed sämre marknadsvärde riskeras om man inte efterlever dataskyddsförordningen, vilket för dem inte var aktuellt och behövde åtgärdas.

4.5 Fall 4

Fall 4 beskriver en statlig industriverksamhet, där cirka 400 anställda beräknades beröras av dataskyddsförordningen. Myndighetens POC var ledningsgruppen. Anonymiseringen av just denna organisation var vital, och därför finns begränsad information om dess bakgrund.

4.5.1 Riskbedömning

Riskidentifikationen utfördes genom en kartläggning och riskanalysen i form av GAP-analys och ALE-algoritmen. GAP-analysen gjordes via intervjuer över mail, vilket i Roberts uttryck blev väldigt ironiskt, i och med att en del av dataskyddsförordningen innefattar att inte använda ostrukturerad kommunikation. Den primära risk som identifierades var brist på efterlevnad, och deras sekundära risk var vitet (straffpåföljd). För att sedan utvärdera riskerna använde organisationen sig av workshop, vilket mynnade ut i en riskbehandling i form av riskacceptans. Sammanfattning av organisationens riskbedömning återfinns i tabell 5.

Titel Respons

Point of Contact Ledningsgruppen Risker PR: Brist på efterlevnad

SR: Vite Riskidentifikation Kartläggning Riskanalys GAP-analys + ALE Riskutvärdering Workshop

Riskbehandling Risk acceptance

Tabell 5: Sammanfattning av riskbedömning fall 4

Organisationens primära och sekundära risk var inte en egentlig risk för dem, utan det upplevdes mer som om GAP-analysen genomfördes och riskerna identifierades bara för att det “bör göras”. Valet av riskbehandling berodde bland annat på att det är Datainspektionen, alltså staten, som utför kontroller av att dataskyddsförordningen följs, vilket organisationen såg som en fördel. Detta är något som Robert även nämnt innan, att statliga verksamheter är mer benägna att bryta mot förordningen på grund av detta. Det verkade under hela projektets gång som om organisationen inte tog förändringsarbetet på särskilt stort allvar, och den inställningen blev tydlig genom följande citat från dem:

”Jag hör vad du säger men vi är en myndighet. Vem ska straffa oss? Staten? Vi är ju staten”.

I och med att de är en statlig organisation var de övertygade om att inget straff skulle drabba dem i första taget - även om deras vite som statlig verksamhet ligger på hela 10 % enligt Robert. De menade också att de efterlevde förordningen då de inte hade identifierbar data av subjektet som de vara tvungna att förhålla sig till. Robert tydliggjorde dock att fallet inte var som de trodde, och att deras system i själva verket innehöll subjektdata. Detta resulterade i att det idag pågår ett nytt projekt hos organisationen som belyser medvetenheten kring dataskyddsförordningen.

4.6 Information utöver fallen

Utifrån Roberts erfarenhet vill alla organisationer vara redo och lagenliga inför dataskyddsförordningens införande. Dock förekommer det olika faktorer som påverkar det målet. Robert uttrycker följande som en gemensam nämnare mellan många organisationer:

“‘Vi vill vara compliant till den 25 maj men vi förstår ju att vi är sent ute’. Den meningen ordagrant har jag hört så många gånger att jag hör den på natten innan jag somnar. Så ambitionen finns där. De förstår att de måste börja göra någonting, men lika hög procent vet inte var de ska börja.”

25

Utöver tidspress och viss okunskap berättar Robert att många med ansvar över dataskyddsförordningens implementation inte förstår att man måste ha en påskrift eller annat officiellt godkännande från ledningen. Denna miss kan i sin tur leda till att projektet ändrar fokus, tappar i hastighet eller hamnar mellan stolarna och att projektet helt enkelt somnar. Det har även hänt att utan mandat från ledningen måste projektet göras om.

En annan anledning är att organisationer använder sina resurser felaktigt, vilket kan bero på lathet, men även på rädsla. Denna rädsla grundar sig i att göra fel gentemot dataskyddsförordningen, vilket gör att man lägger över det på organisationens jurister. Då finns dock risken att processen blir för teknisk istället, eftersom denna form av riskbedömning inte ligger inom en jurists kunskap. De olika algoritmer man ofta använder kan inte jurister förhålla sig till eftersom de inte förstår dem. Detta leder i sin tur att fokus flyttas, från efterlevnad till att försöka förhala processen.

Robert pratar mycket om fenomenet kring valet att inte införa en åtgärd på grund av en förhållandevis betydelselös summa. Ett exempel han gav var en organisation med en årsomsättning på mer än en halv miljard svenska kronor, och som gjorde valet att inte köpa in ett antal switchar för ca 6000 svenska kronor. Det var helt enkelt inte värt det, och organisationen valde istället att ta risken av vad bristen på produkterna kunde orsaka. Ett annat exempel var en organisation som omsatte mer än 2000 miljarder svenska kronor, och hade i ett specifikt fall en riskacceptans på 126 000 svenska kronor. Han upplever att organisationer ofta inte har kapaciteten att ta ett steg tillbaka och fundera över vad det är man i själva verket pratar om: Att några tio tusen kronor egentligen inte är någonting, men om du sitter med ansvar över en årsomsättning är det inte värt att spendera. Han ställer sig frågan:

“Hur kommer det sig, att de mätmetoderna för det här årsresultatet är så pass viktigt för en aktiekurs, eller vad det nu må vara, och som gör att du har en riskacceptans som inte ens är en promilles promille av din årsomsättning?”

Liknande syn har organisationer när det kommer till lagar. Vad blir konsekvensen av att inte följa den här lagen? Organisationen kommer i framtiden få en smäll på fingrarna med kravet att det måste åtgärdas. Vad kommer det att kosta att hyra en konsult efter den där varningen, och hur många arbetstimmar tar det? Kontra: Hur gör organisationen om de vill följa lagen på en gång? Vad behöver göras nu, och hur många arbetstimmar kommer läggas på det? Här blir det tydligt att det är mycket billigare att få en smäll på fingrarna, få berättat för sig vad som ska åtgärdas och efter det lägga den tid och de resurser som krävs. Vidare berättar Robert att den första sanktionsavgiften med stor sannolikhet inte kommer delas ut på många år, och det med tanke på att prejudikat saknas. Detta har organisationerna listat ut, och istället för att spendera pengar på att bli lagenliga spenderas pengar på jurister som istället ska förlänga processen så långt som möjligt. Ett exempel här är olika organisationers syn på missbruksregeln: Att arbetet kring det blir alldeles för stort och omfattande, och att organisationer istället använder jurister som förhalar processen, tills de vet mer exakt hur de ska gå till väga.

En annan faktor som Robert säger spelar roll är vem det är inom organisationen som kommunikationen sker med. Om det är en person som har ansvar över verksamhetens årsomsättning kan riskacceptansen landa på väldigt låga summor, som tidigare nämnt.

Samtidigt ser Robert, som säkerhetsexpert, bevisligen väldigt annorlunda på vilka åtgärder som bör tas.

5. Analys

Nedan presenteras en analys av resultatet, där de olika fallen ställs mot varje del i det teoretiska ramverket. Valet att sammanslå riskidentifikation och riskanalys beror på att riskidentifikationen ger ett resultat av alla risker, och riskanalysen ger en form av prioritering av riskerna. I och med att vi endast tagit del av den primära samt sekundära risken från varje organisation, har vi endast haft tillgång till de högst prioriterade riskerna.

5.1 Context establishment

Enligt Refsdal, Solhaug och Stølen (2015, s 16) ska en riskbedömningsprocess inledas med att ta fram mål för processen, försörja med input och ta med de relevanta aspekter som krävs. Ett problem här, som framför allt riskerade att drabba organisation 2 och 3, är att fel arbetsgrupp valdes från första början till att leda projektet, alternativt en för icke varierad grupp. Även om mandat från ledningsgruppen fanns, leddes projektet internt inom IT-avdelningen, vilket gör det svårt att få in de aspekter som krävs: De sociala, juridiska och finansiella. Att få in det juridiska perspektivet blir speciellt relevant med tanke på att det handlar om en förordning.

Eftersom en riskbedömning i slutändan dock landar i kostnader behöver de ansvariga ha insikt även i det området, vilket en IT-avdelning nödvändigtvis inte har - åtminstone inte kopplat till hela verksamheten.

5.2 Risk identification och risk analysis

Enligt Refsdal, Solhaug och Stølen är riskidentifikation den aktivitet där man identifierar, beskriver och dokumenterar risker samt möjliga risker (2015, s 18), vilket samtliga organisationer har gjort med hjälp av kartläggning. Riskanalysens syfte är att uppskatta risknivån av de identifierade riskerna, vilket organisationerna ha gjort med hjälp av GAP- analys, ALE-algoritmen och i ett fall med workshops. Utifrån denna riskanalys, tillsammans med resultatet från riskidentifikaitonen, har sedan varje organisation tagit fram en primär och en sekundär risk.

Av de identifierade primära och sekundära riskerna hos organisation 1 och 2 kan vi se att det finns en koppling till organisationens kärnverksamhet. Organisation 1 arbetar inom detaljhandeln där deras CRM-system är ett centralt element för att verksamheten ska fungera, vilket även gör att det naturligt placeras som den primära risken. Att ha en fungerande marknadsföring, som är deras sekundära risk, blir vitalt när kärnverksamheten handlar om att sälja sig själv och sina produkter.

För organisation 2, som arbetar inom industrin och tillverkningen av stål, kan vi även här se en koppling mellan deras primära och sekundära risk till deras kärnverksamhet. De insåg att medvetenhet var deras primära risk, då systemets säkerhet inte spelar någon roll om människor inte förstår hur det ska användas eller hur det ska appliceras till

27

dataskyddsförordningen. Deras sekundära risk, databaserna, blir därmed som en förlängning av deras primära risk. Skulle något gå fel med deras databaser riskerar det att många maskiner havererar, och därmed delar av kärnverksamheten.

Organisation 3 och 4 har inte alls samma koppling mellan sina risker och sin kärnverksamhet.

Organisation 3 har brist på efterlevnad som sekundär risk vilket också organisation 4 har som primär risk. Brist på efterlevnad är en självklar risk för alla organisationer gentemot en förordning. Att ha det som en av sina huvudsakliga risker kan tyda på att en grundlig riskbedömning inte gjorts. Organisation 4 har identifierat vitet som sekundär risk, vilket också kan tyda på en oseriös bedömning: De har redan uttryckt att de som statlig organisation inte behöver oroa sig för vitet. Organisation 3 har ostrukturerat flöde som primär risk, vilket inte är personligt för dem, utan en central del för alla organisationer som måste förhålla sig till dataskyddsförordningen. Detta visar även bristen på koppling till kärnverksamheten.

Sett till det Ackermann (2013, s 17) säger om att riskidentifikationen är en ex-ante fas och att en ofullständig riskidentifiering kan leda till ytterligare, oförutsedda förluster för organisationen är något som talar för samtliga organisationer. En så pass generell riskidentifikation som utförts i fall 3 och 4 kan leda till oförutsedda förluster eftersom kärnverksamheten inte legat i fokus. I fall 1 och 2 är kärnverksamheten å andra sidan betydligt mer central i riskidentifikationen, vilket kan tala för färre oförutsedda förluster.

5.3 Risk evaluation

Samtliga organisationer har använt sig av workshop för att utvärdera sina risker, där en viss skillnad ligger hos organisation 3 som även använt sessions. Genom att använda sig av workshops har organisationerna fått fram en dokumentation där riskerna placeras i kontext, alltså ställts emot de kriterier som tidigare satts, och slutligen resulterat i en prioriteringslista.

Vad varje organisation har för individuella kriterier har inte vi fått ta del av, men det officiella kriteriet för denna form av riskbedömning är att organisationerna vill vara lagenliga. Som nämnt i avsnitt 3.2.4 om riskutvärdering görs en jämförelse mellan resultatet från riskanalysen med de tidigare satta riskbedömningskriterierna, alltså de kriterier som satts på hela riskbedömningen. Refsdal, Solhaug och Stølen nämner att detta är ett beslutsfattande steg för vidare arbete i processen (2015, s 21), och det är vitalt att ett noggrant arbete genomförs.

Vikten av att en väl vald arbetsgrupp med personer från olika avdelningar sätts ihop under context establishment visar sig under detta steg. Detta eftersom resultatet av en riskutvärdering speglar de roller som de beslutsfattande personerna har. I organisation 2 visas detta i och med att projektgruppen, som bestod av IT-avdelningen, löste sin sekundära risk, alltså databaser. Dock kunde de inte åtgärda den primära risken, medvetenhet, vilket orsakade att ett nytt projekt med en ny projektledare sedan startades.

På samma sätt kan organisation 4 och deras syn på dataskyddsförordningen motiveras med den ansvarige arbetsgruppen. De var övertygade om att en sanktionsavgift inte kunde drabba dem, vilket är en rimligare syn från en ledningsgrupps sida än vad det kanske är från en HR- grupps sida. Detta hade kunnat leda till att riskutvärderingen sett annorlunda ut med en annan arbetsgrupp, och därför kunnat leda till en annan riskbehandling.

Robert nämnde innan att riskbehandlingen beror väldigt mycket på vem det är man kommunicerar med. Om en person i ledningen har ansvar för att ett bokslut inte ska innehålla några röda siffror, är det större chans att denna accepterar en risk på en väldigt låg kostnad.

5.4 Risk treatment

Som Refsdal, Solhaug och Stølen nämner blir riskbedömningen ett resultat av riskutvärderingen och en analys av kostnader och fördelar med de olika behandlingarna (2015, s 21-22). De två riskbehandlingar som redovisats i studien är riskdelning (organisation 1 och organisation 2) och riskacceptans (organisation 3 och organisation 4). Detta leder dock till att samtliga organisationer på ett eller annat sätt väljer att undvika problemet:

Risköverföring kan jämföras med att stoppa huvudet i sanden, och riskacceptans är detsamma som att ignorera problemet.

En större vilja av efterlevnad kan vi se hos organisation 1 och organisation 2. Organisation 2 insåg att projektet måste fortsätta någon annanstans, dock internt, då ansvaret över situationen var inte deras. Liknande utfall skedde hos organisation 1, även om de lämnade ifrån sig ansvaret helt från organisationen och, istället för att lösa det, skickade iväg problemet. Vidare kan man här se till varje organisations val av riskägare. I organisation 3 och 4 sköts riskerna, och även ägandet av riskerna, upp. I organisation 1 och 2 syns ett mer tydligt ägarskap, vilket dock landar utanför den interna projektgruppen i båda fallen.

Organisation 3 kom inte bara fram till att riskerna skulle accepteras, utan det uppfattades som om det redan var bestämt innan processens start. Detta kan ha berott på valet att förhala hela rättsprocessen snarare än att bli lagenlig. För organisation 4 var det tydligt att deras riskacceptans berodde på ett övertygande om att olyckan inte kan drabba dem - staten kommer inte straffa staten.

Något gemensamt hos samtliga organisationer är att nya projekt startats efter varje riskbedömning. För organisation 1 och 4 var det på grund av att de inte förstått förordningens omfattning. För organisation 3 handlade det om att nya risker uppdagats, till exempel att ett dåligt rykte kan leda till sämre marknadsvärde. För organisation 2 landade det i att resultatet av riskbedömningen krävde det.

29

6. Avslutande del

Nedan presenteras den slutsats och det resultat studien har kommit fram till. Kapitlet avslutas sedan med olika diskussionsämnen samt avslutande tankar.

6.1 Slutsats och resultat

Syftena med denna studie var att se hur riskhanteringen gentemot dataskyddsförordningen ser ut hos organisationer, och om den i sin tur leder fram till att förordningen efterföljs eller ej, samt varför. Detta bedömer vi som uppnått med avseende på datainsamlingens innehåll, samt analysen av den. Vi har fått en tydlig bild av hur organisationer ser på dataskyddsförordningen och hur mycket den har påverkat verksamheten. Det vi kan utgå ifrån efter analysen av fallen är att ingen av organisationerna, framför allt organisation 3 och 4, såg dataskyddsförordningen som ett större hinder. Organisationerna utstrålade tydligt att någon större fruktan inför förändringen inte existerade, där anledningen var uppenbar hos framförallt organisation 4 - staten kommer inte straffa staten. Hos organisation 3 fanns det bara en hypotes - att inställningen grundar sig i det som organisationens legala avdelning delat med sig av. Organisation 1 och 2 verkade ha lagt ned mer seriösa tankar kring projektet, men trots det slutade deras riskbedömning i att någon annan fick ta hand om problemet. Dock insåg organisation 2 att projektet bör fortgå internt, men att det placerades på fel arbetsgrupp initialt.

Nedanför redovisas forskningsfrågorna samt deras resultat.

1. Hur ser riskbedömningen ut inför dataskyddsförordningen hos organisationer?

Organisation 1 Organisation 2 Organisation 3 Organisation 4 POC Ledningsgruppen IT-avdelningen IT-avdelningen Ledningsgruppen Risker PR: CRM-system

SR: Marknadsföring

PR: Medvetenhet SR: Databaser

PR: Ostrukturerat flöde SR: Brist på efterlevnad

PR: Brist på efterlevnad SR: Vite

RI Kartläggning Kartläggning Kartläggning Kartläggning RA GAP-analys+ ALE GAP-analys + ALE Workshop GAP-analys + ALE

RE Workshop Workshop Workshop Workshop

RT Risk transfer Risk transfer Risk acceptance Risk acceptance Tabell 6: Sammanställning av samtliga organisationers riskbedömningar

Tabell 6 visar en sammanställning av alla fyra fall. Varje kolumn står för en specifik organisation och raderna är uppdelade efter Point of Contact (POC), primär risk (PR) och sekundär risk (SR), riskidentifikationen (RI), vilken metod som använts för riskanalysen (RA), riskutvärdering (RE) samt vilken riskbehandling (RT) som valts.